Hướng dẫn dùng tls1_2 openssl trong PHP
Nó là đơn giản và dễ dàng.
Trong Guzzle 3.0+ (cập nhật theo nhận xét của @limos):
--- CẬP NHẬT (dựa trên các nhận xét) --- Việc chọn phiên bản giao thức SSL thích hợp không chỉ liên quan đến
Bạn không thể sử dụng nhiều Bạn có thể xác định nhiều mật mã bảo mật, nhưng chỉ có một tham số phiên bản SSL. Tôi sẽ không sử dụng bất kỳ thứ gì sớm hơn TLS 1.1. Bất kỳ phiên bản SSL nào trước đó đều dễ bị tấn công. Phiên bản TLS 1.1 cũng dễ bị tấn công, nhưng sau đó bạn có thể gặp phải các vấn đề tương thích với máy khách ở phiên bản 1.2, nếu bạn đi theo lộ trình đó. Bảo mật duy nhất (hiện tại, cho đến khi họ phát hiện ra một số lỗ hổng) là TLS 1.2. Nếu bảo mật là ưu tiên hàng đầu, hãy sử dụng phiên bản TLS cao nhất hiện có (TLS1.2). Tính tương thích của máy khách không phải là vấn đề của bạn khi có trách nhiệm bảo mật của nhà cung cấp dịch vụ. Nếu bảo mật là quan trọng, đây là các tùy chọn cURL khác để xem xét:
Thiết lập thích hợp
Dưới đây là danh sách với các mật mã cURL (
Các mật mã này đã được kiểm tra dựa trên danh sách Phòng thí nghiệm SSL Qualys mạnh (2014) và các mật mã yếu đã bị xóa. Hãy thêm / bớt bất kỳ mật mã nào. Nếu bạn vẫn muốn theo đuổi nhiều
Các lỗ hổng và cuộc tấn công: Longjam, FREAK, POODLE, bạn đặt tên cho nó! Ai biết những cuộc tấn công hoặc lỗ hổng bảo mật nào khác chưa được phát hiện? Đúng! Tất cả chúng đều ảnh hưởng đến lựa chọn kết nối SSL / TLS của bạn. Bạn không có quyền kiểm soát máy khách (trừ khi bạn phát triển nó), nhưng bạn có quyền kiểm soát máy chủ và các cuộc đàm phán giữa máy chủ và máy khách. Bất kể bạn xây dựng ứng dụng nào, bạn nên xem xét các phương pháp hay nhất, tùy thuộc vào nhu cầu của bạn và tùy từng trường hợp, bạn nên quyết định các tùy chọn sau:
Nếu bảo mật quan trọng như vậy, hãy sử dụng TLS1.1 ở mức tối thiểu. Nhìn vào danh sách mật mã, tôi sẽ không bỏ qua phần đó. Đây cũng là một hướng dẫn OWASP hay để tạo một lớp bảo mật xung quanh ứng dụng của bạn. OWASP và Qualys SSL Labs là những tài nguyên tuyệt vời để bắt đầu. Tôi thậm chí sẽ thực hiện một số nghiên cứu về cURL và OpenSSL để làm quen với các điểm yếu, các tùy chọn bảo mật có thể có và các phương pháp hay nhất. Có những điểm an ninh, mà tôi không đề cập đến và bị thiếu, nhưng chúng tôi không thể bao gồm tất cả mọi thứ. Đây chỉ là đỉnh của tảng băng trôi. Bất cứ điều gì không được đề cập ở đây là để bạn nghiên cứu. Chúc may mắn! Tôi sẽ có mặt để trả lời bất kỳ câu hỏi nào, nếu tôi có thể. 13 hữu ích 5 bình luận chia sẻ |